ABIDS-WSN: UM FRAMEWORK DE DETECÇÃO DE INTRUSÃO EM REDES DE SENSORES SEM FIO ORIENTADO POR AGENTES INTELIGENTES.

Texto

(1)˜ UNIVERSIDADE FEDERAL DO MARANHAO ˆ CENTRO DE CIENCIAS EXATAS E TECNOLOGIA ´ ˜ EM ENGENHARIA DE ELETRICIDADE PROGRAMA DE POS-GRADUAC ¸ AO. HIGO FELIPE SILVA PIRES. ABIDS-WSN: Um Framework de Deteçc˜ ao de Intrus˜ ao em Redes de Sensores sem Fio Orientado por Agentes Inteligentes. São Lu´ıs 2017.

(2) HIGO FELIPE SILVA PIRES. ABIDS-WSN: Um Framework de Deteçc˜ ao de Intrus˜ ao em Redes de Sensores sem Fio Orientado por Agentes Inteligentes. Disserta¸cão apresentada ao Programa de Pós-Gradua¸cão em Engenharia de Eletricidade da Universidade do Maranhão, para obten¸caõ do t´ıtulo de Mestre em Engenharia de Eletricidade. ´ Area de concentra¸cão: Ciência da Computa¸caõ. Orientador: Prof. Dr. Denivaldo Cicero Pavão Lopes. São Lu´ıs 2017.

(3) Ficha gerada por meio do SIGAA/Biblioteca com dados fornecidos pelo(a) autor(a). Núcleo Integrado de Bibliotecas/UFMA. Pires, Higo Felipe Silva. ABIDS-WSN : Um Framework de Detecção de Intrusão em Redes de Sensores sem Fio Orientado por Agentes Inteligentes / Higo Felipe Silva Pires. - 2017. 82 f. Orientador(a): Denivaldo Cicero Pavão Lopes. Dissertação (Mestrado) - Programa de Pós-graduação em Engenharia de Eletricidade/ccet, Universidade Federal do Maranhão, São Luís, 2017. 1. Agentes Inteligentes. 2. Redes de Sensores sem Fio. 3. Segurança da Informação. 4. Sistemas de Detecção de Intrusão. I. Lopes, Denivaldo Cicero Pavão. II. Título..

(4) ˜ DE INTRUSAO ˜ EM ABIDS-WSN: UM FRAMEWORK DE DETECC ¸ AO REDES DE SENSORES SEM FIO ORIENTADO POR AGENTES INTELIGENTES. Higo Felipe Silva Pires Disserta¸caõ aprovada em 26 de janeiro de 2017.. Prof. Denivaldo Cicero Pavão Lopes, Dr. (Orientador). Profa. Karla Donato Fook, Dra. (Membro da Banca Examinadora). Prof. Osvaldo Ronald Saavedra Mendez, Dr. (Membro da Banca Examinadora).

(5) Ad Jesum per Mariam..

(6) Agradecimentos. Em primeiro lugar, agrade¸co este trabalho a Deus, Nosso Senhor, que é o Senhor da História e foi – e é! – o Senhor da história deste trabalho desde sempre, me dando as gra¸cas necessárias para bem terminá-lo, por intercessão da Sua Santa Mãe, a Sant´ıssima Virgem, e de toda a corte celeste. ` minha fam´ılia, em especial meu pai Simião, minha mãe Rosa e meu irmão Arthur, A que sempre estiveram comigo nesses anos, amorosa e pacientemente me incentivando nas alegrias e consolando nos momentos mais atribulados. ` minha amada Aline, que com seu amor e carinho nas boas horas e incentivo e A compreensão nas horas dif´ıceis foi fundamental nesse tempo de crescimento pessoal. Um agradecimento especial ao meu orientador, o Professor Zair Abdelouahab (in memoriam), que nos deixou antes que esse trabalho viesse à luz. A ele meu eterno agradecimento pelas conversas, orienta¸cões, ensinamentos e conselhos e, sobretudo, por me ter servido de exemplo de Professor, of´ıcio que, muito honrado, ora exer¸co. Seja a sua memória eterna! Agrade¸co também ao Professor Denivaldo Lopes pela orienta¸caõ após o falecimento do Professor Zair e pela aceita¸caõ dada ao trabalho. A ele, meus eternos agradecimentos pela compreensão, apontamentos, sugestões e conselhos para o aperfei¸coamento cada vez maior deste trabalho. Aos colegas de Mestrado, em especial os amigos Breno, Débora, Silvano, Nilson e Tiago, por todos os momentos, conversas e ajuda m´ utua nos anos de Mestrado. A todos, meus mais sinceros votos de sucesso profissional e pessoal. Aos colegas do LABSAC, em especial Mário Henrique, que foi de fundamental ajuda no processo de produ¸cão deste trabalho, Willian Ribeiro, Luan Oliveira e Natália Soeiro. A todos meus mais sinceros agradecimentos e votos de amizade. A cada um, meus reiterados agradecimentos e votos de amizade e sucesso. Ao Instituto Federal de Educa¸cão, Ciência e Tecnologia do Maranhão - Campus Pinheiro, por, além de me prover o ambiente de trabalho, prover as condi¸co˜es tão favoráveis quanto poss´ıvel para a consecu¸cão desse trabalho..

(7) ` Coordena¸cão de Aperfei¸coamento de Pessoal de N´ıvel Superior (Capes), pela A oferta das bolsas, que em muito ajudaram no sustento material necessário para a finaliza¸caõ do trabalho. Aos professores e funcionários do Programa de Pós-Gradua¸cão em Engenharia de Eletricidade da Universidade Federal do Maranhão (PPGEE-UFMA), por toda a ajuda e apoio fornecidos no tempo do curso. Aos amigos e irmãos de Fé da Associa¸caõ Ad Maiorem Dei Gloriam, que com seu apoio espiritual, mediante preciosas ora¸co˜es, conseguiram do Céu esta Gra¸ca que agora se concretiza na minha vida. Finalmente, meus agradecimentos a todos aqueles que, direta ou indiretamente, tornaram esse trabalho poss´ıvel através da sua ajuda..

(8) “Por isso aconselho a você, estudante, a não alegrar-se excessivamente por ler muitas coisas, mas por entender muitas coisas, e não somente entender mas poder memorizar. Do contrário, não adianta ler muito nem entender muito. Razão pela qual repito quanto disse acima, isto é, que as pessoas que se dedicam ao estudo necessitam de engenho e de memória.” Hugo de São V´ıtor (c. 1096 - 1141), A Arte de Ler.

(9) Resumo. PIRES, Higo Felipe Silva. ABIDS-WSN: Um Framework de Deteçc˜ ao de Intrus˜ ao em Redes de Sensores sem Fio Orientado por Agentes Inteligentes. 2017. 82 f. Disserta¸caõ (Mestrado em Engenharia de Eletricidade) – Programa de Pós-Gradua¸caõ em Engenharia de Eletricidade, Universidade Federal do Maranhão, São Lu´ıs, 2017. Ultimamente, houve um avan¸co significativo em várias tecnologias direta ou indiretamente correlatas à Computa¸cão Ub´ıqua. Entre elas, pode-se citar a tecnologia das Redes de Sensores sem Fio (WSN s). Tendo já o seu espa¸co no atual cenário, o uso dos sensores sem fio se estende em vários ramos da atividade humana: monitoramento industrial, smart houses, aplica¸cões médicas e militares. Entretanto, várias deficiências e limita¸cões em sensores sem fio podem ser notadas: recursos limitados de hardware, energia e capacidade computacional são pontos a sempre serem tratados por quem trabalha com tais dispositivos. Quanto a esses dispositivos há, além dos fatores já citados, uma preocupa¸caõ importante referente à sua seguran¸ca. Assim como em outros dispositivos, para que essas amea¸cas sejam, ao menos, mitigadas é necessário criar camadas de seguran¸ca. Uma dessas camadas pode ser formada pelos Sistemas de Deteçcaõ de Intrusão (IDS ). No entanto, devido a` já mencionada restri¸caõ de hardware dos sensores, o desenvolvimento de IDS s — bem como qualquer outra aplica¸caõ — para esses dispositivos deve supor tais caracter´ısticas. No que se refere, ainda, aos IDS s, há alguns aspectos que devem ser levados em conta, sobretudo flexibilidade, a eficiência e a capacidade de adapta¸cão a novas situa¸cões. Um paradigma que facilita a implementa¸caõ de tais capacidades são os Agentes Inteligentes. Sendo assim, este trabalho descreve a proposta de um framework para deteçcaõ de intrusões em WSN s baseado em agentes inteligentes. Palavras-chaves: Seguran¸ca da Informa¸cão. Sistemas de Deteçcão de Intrusão. Redes de Sensores sem Fio. Agentes Inteligentes..

(10) Abstract. PIRES, Higo Felipe Silva. ABIDS-WSN: A Framework of Intrusion Detection in Wireless Sensor Networks Driven by Intelligent Agents. 2017. 82 p. Dissertation (Master of Electricity Engineering) – Postgraduate Program in Electricity Engineering, Federal University of Maranhão, São Lu´ıs, 2017. Lately, there has been a significant advance in several technologies directly or indirectly related to Ubiquitous Computing. Among them, the technology of Wireless Sensor Networks (WSNs) can be mentioned. Having its space in the current scenario, the use of wireless sensors extends into various branches of human activity: industrial monitoring, smart houses, medical and military applications. However, several shortcomings and limitations in wireless sensors can be noted: limited hardware, energy and computational capacity are points that are always treated by those who work with such devices. As for these devices, there is, besides the factors already mentioned, an important concern regarding their safety. As with other devices, for these threats to be at least mitigated, it is necessary to create layers of security. One of these layers may be formed by Intrusion Detection Systems (IDS). However, due to the aforementioned hardware restriction of the sensors, the development of IDSs - as well as any other application - for such devices should assume such characteristics. As for IDSs, there are some aspects that need to be taken into account, especially flexibility, efficiency and adaptability to new situations. A paradigm that facilitates the implementation of such capabilities is the Intelligent Agents. Therefore, this paper describes the proposition of a framework for intrusion detection in WSNs based on intelligent agents. Keywords: Information security. Intrusion Detection Systems. Wireless Sensor Networks. Intelligent Agents..

(11) Lista de Figuras. Figura 1 – WSN em arquitetura de camadas . . . . . . . . . . . . . . . . . . . . . 23 Figura 2 – WSN em arquitetura de cluster . . . . . . . . . . . . . . . . . . . . . . 24 Figura 3 – WSN com nó coletor móvel . . . . . . . . . . . . . . . . . . . . . . . . 24 Figura 4 – Estrutura de um agente inteligente e fluxograma de suas rela¸co˜es com o ambiente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 31. Figura 5 – Taxa de deteçcaõ de ataques em fun¸caõ do tamanho/densidade da rede (BAIG, 2011) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 Figura 6 – Compara¸caõ da precisão entre os algoritmos K-MICA e D-FICCA . . . 38 Figura 7 – Atacante e modelagem do IDPS baseado em Teoria dos Jogos . . . . . 39 Figura 8 – Arquitetura de agentes MUSK . . . . . . . . . . . . . . . . . . . . . . . 40 Figura 9 – Relacionamento entre os agentes Sentry, Analysis, Response e Management 41 Figura 10 – Diagrama representado o agente Intrusion Detection . . . . . . . . . . 42 Figura 11 – Taxa de deteçcão de falsos positivos no framework proposto por Hai, Huh e Jo (2010) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 Figura 12 – Sistema de agentes proposto por Haddadi e Sarram (2010) . . . . . . . 44 Figura 13 – Medidas de energia em uma WSN com 12 nós arranjados em topologia mesh . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 Figura 14 – Modelo de deteçcaõ de intrusão proposto por Sun e Liu (2013) . . . . . 46 Figura 15 – Arquitetura do Framework ABIDS-WSN . . . . . . . . . . . . . . . . . 48 Figura 16 – Digrama de Caso de Uso do Framework ABIDS-WSN . . . . . . . . . .. 51. Figura 17 – Digrama de Classe do Framework ABIDS-WSN . . . . . . . . . . . . . 52 Figura 18 – Digrama de Sequência do Framework ABIDS-WSN . . . . . . . . . . . 53 Figura 19 – Digrama de Atividades do Framework ABIDS-WSN . . . . . . . . . . . 54 Figura 20 – Digrama de Atividades da captura de pacotes do Framework ABIDS-WSN 54 Figura 21 – Digrama de Atividades da análise de ataques do Framework ABIDS-WSN 55 Figura 22 – Ambiente de testes do Framework ABIDS-WSN . . . . . . . . . . . . . 58 Figura 23 – Gráfico de barras com valores médios dos tempos de deteçcão dos ataques contra a WSN . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 Figura 24 – Consumo de recursos de I/O - SYN Flood (em %) . . . . . . . . . . . . 62 Figura 25 – Consumo de recursos de I/O - LAND (em %) . . . . . . . . . . . . . . 63.

(12) Figura 26 – Consumo de recursos de I/O - ICMP Flood (em %) . . . . . . . . . . . 63 Figura 27 – Consumo de recursos de I/O - Smurf (em %) . . . . . . . . . . . . . . . 63 Figura 28 – Consumo de recursos de I/O - UDP Flood (em %) . . . . . . . . . . . 64 Figura 29 – Consumo de recursos de CPU - SYN Flood (em %) . . . . . . . . . . . 64 Figura 30 – Consumo de recursos de CPU - LAND (em %) . . . . . . . . . . . . . . 65 Figura 31 – Consumo de recursos de CPU - ICMP Flood (em %) . . . . . . . . . . 65 Figura 32 – Consumo de recursos de CPU - Smurf (em %) . . . . . . . . . . . . . . 65 Figura 33 – Consumo de recursos de CPU - UDP Flood (em %) . . . . . . . . . . . 66.

(13) Lista de Tabelas. Tabela 1 – Taxonomia dos ataques contra redes de sensores sem fio . . . . . . . . 30 Tabela 2 – Ataques e contramedidas propostos por Malik (2013) . . . . . . . . . . 35 Tabela 3 – Tabela comparativa de principais trabalhos relacionados . . . . . . . . 46 Tabela 4 – Tabela com valores médios dos tempos de deteçcaõ dos ataques contra a WSN (em ms) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 umero limite de pacotes Tabela 5 – Matriz de confusão dos ataques testados e n´ passantes considerados inseguros . . . . . . . . . . . . . . . . . . . . .. 61. Tabela 6 – Tabela comparativa dos resultados do framework proposto e dos trabalhos relacionados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68.

(14) Lista de Abreviaturas e Siglas. CRC. Cyclic Redundancy Check. IDPS. Intrusion Detection and Prevention System. IDS. Intrusion Detection System. MAC. Medium Access Control. MANET. Mobile ad hoc Network. RFID. Radio-Frequency IDentification. VPN. Virtual Private Network. TDM. Time Division Multiplexing. WSN. Wireless Sensor Network.

(15) Sum´ ario. 1. Introdu¸c˜ ao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 17. 1.1. Contextualiza¸caõ e problem´ atica . . . . . . . . . . . . . . . . . . . . . 17. 1.2. Motiva¸caõ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18. 1.3. Hip´ otese e Objetivos . . . . . . . . . . . . . . . . . . . . . . . . . . . 19. 1.4. Metodologia de Pesquisa . . . . . . . . . . . . . . . . . . . . . . . . . 20. 1.5. Estrutura do Trabalho . . . . . . . . . . . . . . . . . . . . . . . . . . .. 2. Contexto Tecnol´ ogico . . . . . . . . . . . . . . . . . . . . . . . . 2.1 2.1.1. 21 22. Redes de Sensores sem Fio . . . . . . . . . . . . . . . . . . . . . . . . 22 Seguran¸ca em Redes de Sensores sem Fio . . . . . . . . . . . . . . . 24. 2.2. Amea¸cas e Contramedidas em Redes de Sensores sem Fio . . . . . . . 25. 2.3. Sistemas de Deteçcaõ de Intrus˜ ao . . . . . . . . . . . . . . . . . . . . 28. 2.3.1 2.4 2.4.1 2.5 3. Deteçcaõ de Intrusão em Redes de Sensores sem Fio . . . . . . . . . 29 Agentes Inteligentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 Uso de Agentes Inteligentes em Deteçcaõ de Intrusão . . . . . . . . 32 S´ıntese . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 Estado da Arte . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 34. 3.1. Amea¸cas e Contramedidas em Redes de Sensores sem Fio . . . . . . . 34. 3.2. Sistemas de Deteçcaõ de Intrus˜ ao em Redes de Sensores sem Fio . . . 36. 3.3. Uso de Agentes Inteligentes em Sistemas de Deteçcaõ de Intrus˜ ao . . 39. 3.3.1. Energy-Efficient Intrusion Detection System for Wireless Sensor Network Based on MUSK Architecture . . . . . . . . . . . . . . . . 40. 3.3.2. Intrusion Detection for Wireless Sensor Networks Based on Multiagent and Refined Clustering . . . . . . . . . . . . . . . . . . . . .. 3.3.3. 41. A Framework of Machine Learning Based Intrusion Detection for Wireless Sensor Networks . . . . . . . . . . . . . . . . . . . . . . . 42. 3.3.4. A lightweight intrusion detection framework for wireless sensor networks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42. 3.3.5. Wireless Intrusion Detection System Using a Lightweight Agent . . 43.

(16) 3.3.6. Lightweight energy consumption-based intrusion detection system for wireless sensor networks . . . . . . . . . . . . . . . . . . . . . . 44. 3.3.7. Agent-based intrusion detection and self-recovery system for wireless sensor networks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45. 3.4 4. S´ıntese . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 Proposta de um Framework de Deteçc˜ ao de Intrus˜ ao em WSNs 48. 4.1. Arquitetura . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48. 4.2. Modelagem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50. 4.2.1. Diagrama de Caso de Uso . . . . . . . . . . . . . . . . . . . . . . . 50. 4.2.2. Diagrama de Classe . . . . . . . . . . . . . . . . . . . . . . . . . . .. 4.2.3. Diagrama de Sequência . . . . . . . . . . . . . . . . . . . . . . . . . 53. 4.2.4. Diagramas de Atividades . . . . . . . . . . . . . . . . . . . . . . . . 54. 51. 4.3. Prototipagem. 4.4. S´ıntese . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56. 5. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55. Testes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 57. 5.1. Ambiente e Dados dos Testes. 5.2. Resultados dos Testes . . . . . . . . . . . . . . . . . . . . . . . . . . . 59. 5.3. Comparativo com Trabalhos Relacionados . . . . . . . . . . . . . . . . 66. 5.4. S´ıntese . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69. 6. . . . . . . . . . . . . . . . . . . . . . . 57. Conclus˜ ao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 70. 6.1. Objetivos alcan¸cados . . . . . . . . . . . . . . . . . . . . . . . . . . . 70. 6.2. Limita¸co˜es . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 71. 6.3. Trabalhos Futuros . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 71. 6.4. Publica¸co˜es . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72. 6.5. Considera¸co˜es Finais . . . . . . . . . . . . . . . . . . . . . . . . . . . 72. Referˆ encias. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 74. Anexo A – C´ odigos-fonte dos scripts utilizados nos testes . .. 78. Anexo B – Capturas de tela do funcionamento do framework ABIDS-WSN . . . . . . . . . . . . . . . . . . . . . .. 80.

(17) Anexo C – Capturas de tela dos scripts utilizados nos testes. 82.

(18) 17. 1 Introdu¸c˜ ao. Neste primeiro cap´ıtulo, uma introdu¸cão sobre o trabalho será apresentada. Este primeiro cap´ıtulo trará trará uma contextualiza¸caõ e a problemática para a qual se visará propor uma solu¸caõ, a motiva¸caõ para tal trabalho, a solu¸caõ proposta, os objetivos — gerais e espec´ıficos — do presente trabalho, a metodologia empregada para o desenvolvimento da solu¸cão proposta, finalizando com a apresenta¸caõ da estrutura de todo o trabalho.. 1.1 Contextualiza¸caõ e problem´ atica. Com o advento da Computa¸caõ Ub´ıqua, que foi pela primeira vez mencionada em (WEISER, 1991), a informática tornou-se cada vez mais presente nos ambientes nos quais estejam inseridos os seres humanos. Seja através de dispositivos vest´ıveis, dispositivos cientes do contexto ou sistemas embarcados, a presen¸ca desses dispositivos no meio humano está consolidada. Além disso, houve o surgimento da tecnologia dos sensores sem fio. Sensores são dispositivos de tamanho reduzido, geralmente, dispostos em grandes quantidades (que variam das centenas aos milhares), cuja finalidade é captar informa¸co˜es do ambiente f´ısico no qual estão inseridos, tais como temperatura, umidade, movimento, entre outras (XIE et al., 2011; BUTUN; MORGERA; SANKAR, 2014). No momento que estes dispositivos se localizam em uma dada região geográfica e possuem conexões entre si, tem-se uma rede de sensores sem fio (em inglês, WSN ). WSN s possuem uma ampla gama de aplica¸cões: uso industrial, médico (e-health), militar, constru¸cão de smart houses, sensoriamento de eventos, etc. Segundo Patel e Aggarwal (2013), Xie et al. (2011), as WSN s possuem as seguintes caracter´ısticas, que afetam de maneira decisiva o desempenho das WSN s e a maneira como elas devem ser trabalhadas: • Pouca ou nenhuma infraestrutura; • Nós sensores com recursos computacionais (memória, energia, largura de banda) limitados; • Maior facilidade de comprometimento dos nós sensores; • Topologia em constante mudan¸ca, devido a falhas ou mobilidade dos nós..

(19) 18. Por causa dos pontos elencados anteriormente, a seguran¸ca acaba se tornando um fator importante e complexo no uso das WSN s. Além de uma maior vulnerabilidade a dispositivos internos ou mesmo externos à rede, há também nos nós sensores uma vulnerabilidade contra a sua própria integridade f´ısica, dada a sua proximidade da fonte dos dados coletados. Portanto, faz-se necessário que sejam criadas medidas de seguran¸ca voltadas para ameniza¸caõ ou solu¸caõ desses problemas de seguran¸ca. No entanto, devido ao menor poder computacional e energético dos sensores sem fio, o desenvolvimento de solu¸co˜es de seguran¸ca para tais dispositivos deve ser diferenciado, lan¸cando mão de técnicas e abordagens adequadas.. 1.2 Motiva¸caõ. A seguran¸ca é um fator vital em qualquer contexto onde haja uma rede de computadores. Visando lidar com esse fator, várias técnicas e abordagens foram desenvolvidas, sobretudo para redes cabeadas, porém essas abordagens, em geral, acabam por não ser tão funcionais em redes wireless, o que, por extensão, acaba por não ser tão funcional também em WSN s (BUTUN; MORGERA; SANKAR, 2014). Torna-se necessário, portanto, fazer uma abordagem compat´ıvel com as WSN s e os sensores sem fio que as compõem. Segundo Khanum, Usman e Alwabel (2012), abordagens tradicionais, tais como criptografia, uso de VPN ’s e firewalls acabam por se mostrar inadequadas para uso em WSN s, uma vez que elas provêm prote¸caõ apenas contra elementos externos a` rede, além do grande consumo de recursos computacionais que elas demandam. Portanto, necessita-se de uma abordagem que seja, simultaneamente, eficiente o suficiente para a conten¸caõ em tempo real de atacantes não só externos à rede, mas também internos, e que demande menos recursos computacionais. Para tanto, uma abordagem poss´ıvel é o uso de sistemas de deteçcão de intrusão (IDS ). Sistemas de deteçcão de intrusão podem ser definidos como sistemas que fazem uma deteçcão automática de invasões e ataques a uma rede, gerando alertas e relatórios do ocorrido (MOURABIT et al., 2014). Pelo fato de IDS s serem sistemas complexos, uma abordagem promissora é a decomposi¸cão dos módulos do sistema em vários nós da rede, tornando, assim, o IDS um sistema distribu´ıdo. Porém, também essa distribui¸cão deve ser feita de maneira a não exaurir os escassos recursos computacionais dos sensores sem.

(20) 19. fio. De maneira a se obter a consecu¸cão desse requisito, podem ser utilizados os agentes inteligentes. Um agente é uma entidade computacional capaz de perceber o ambiente no qual esteja situada através de sensores, efetuar um processamento baseado na entrada provida pelos sensores e, de acordo com esse processamento, atuar no ambiente através de atuadores (NORVIG; RUSSELL, 2014). Quando os agentes trabalham em conjunto e de maneira coordenada – um sistema distribu´ıdo, portanto –, dá-se o paradigma dos sistemas multiagentes, que são sistemas que conseguem prover a flexibilidade, eficiência e adaptabilidade necessários para o bom funcionamento de um IDS. Agentes são diferentes de outras abordagens, pois eles agem de maneira autônoma e baseada em objetivos. Além disso, eles apresentam as seguintes vantagens (MOURABIT et al., 2014): • Redu¸ c˜ ao da latˆ encia de rede: Agentes em um nó de rede, agindo de maneira autônoma, respondem e agem mais rapidamente do que se houvesse um coordenador central; • Execu¸c˜ ao autˆ onoma: Agentes continuam a atuar, mesmo com uma eventual perda ou danos na rede; • Atua¸ c˜ ao em ambientes heterogˆ eneos: Agentes são capazes de atuar em ambientes heterogêneos, criando, assim, um sistema multiplataforma; • Redu¸ c˜ ao da carga de rede: Em caso de necessidade, um agente poderá ter a capacidade de ser mover entre os hosts da rede, aumentando a distribui¸caõ de carga do sistema. 1.3 Hip´ otese e Objetivos. Dada a possibilidade do uso de agentes inteligentes para o desenvolvimento de sistemas de deteçcaõ de intrusão, auferida através de levantamento bibliográfico, este trabalho primeiramente buscará desenvolver a seguinte hipótese: O uso de agentes inteligentes no desenvolvimento de solu¸cões de deteçc˜ ao e preven¸c˜ ao de intrus˜ oes em redes de sensores sem fio é bastante adequado a tais equipamentos, pois aqueles favorecem o desenvolvimento de solu¸cões cujo desempenho seja adequado para sensores sem fio. Além disso, o uso dos agentes inteligentes permite um melhor desenvolvimento desses sistemas, de maneira a.

(21) 20. prover desempenho computacional satisfatório, adaptabilidade, escalabilidade, menor tempo de latência e balanceamento de carga. De maneira a comprovar a veracidade dessa hipótese, este trabalho dissertativo tra¸ca alguns objetivos gerais e espec´ıficos, descritos conforme a seguir. O objetivo geral do presente trabalho de disserta¸cão é propor um framework, baseado em agentes, de deteçcaõ de intrusão em redes de sensores sem fio, com a melhor adequa¸caõ poss´ıvel aos recursos dos dispositivos das redes. Com vistas a auxiliar a consecu¸cão do objetivo geral, este trabalho possui os seguintes objetivos espec´ıficos: • Conceber, projetar, implementar um framework baseado em agentes para deteçcaõ de intrusão em redes de sensores sem fio; • Projetar e implementar um ambiente computacional a partir do framework proposto, que possibilite a constru¸caõ de um cenário controlado; • Projetar e implantar cenários de ataques simulados contra a rede de sensores sem fio implantada; • Projetar e implantar cenários de medi¸cão, que possibilitem a aferi¸cão do consumo do hardware dispon´ıvel para o framework;. 1.4 Metodologia de Pesquisa. Para a consecu¸caõ dos objetivos anteriormente citados, este trabalho lan¸cará mão de alguns métodos, listados a seguir: 1. Revisão bibliográfica, feita através de levantamento de livros, artigos de jornal, anais de eventos e endere¸cos Web; 2. Defini¸cão do escopo do problema, de maneira que sejam esclarecidos os limites do trabalho e sua posterior contribui¸caõ; 3. Levantamento dos requisitos necessários para o ambiente computacional constru´ıdo a partir do framework proposto; 4. Levantamento dos requisitos necessários para os cenários de ataques simulados no ambiente computacional controlado; 5. Levantamento dos requisitos necessários para desenvolvimento e correta aplica¸cão dos testes de medi¸caõ..

(22) 21. 1.5 Estrutura do Trabalho. A escrita deste trabalho distribui-se ao longo de seis cap´ıtulos, os quais serão detidamente descritos a seguir: • Cap´ıtulo 2: Este cap´ıtulo apresenta um contexto tecnológico, o qual traz uma abordagem dos fundamentos teóricos cujo conhecimento é necessário para a compreensão deste trabalho. Neste cap´ıtulo, os conceitos referentes a Redes de Sensores sem Fio, Amea¸cas e Contramedidas em Redes de Sensores sem Fio, Sistemas de Deteçcaõ de Intrusão e Agentes Inteligentes são abordados. Por u ´ltimo uma s´ıntese do cap´ıtulo é apresentada; • Cap´ıtulo 3: Neste cap´ıtulo, um estado da arte é apresentado, ou seja, faz-se uma apresenta¸cão e uma discussão dos mais importantes e recentes trabalhos referentes aos conceitos discutidos no Cap´ıtulo 2, sendo feita posteriormente uma compara¸caõ entre aqueles que foram considerados mais importantes para este trabalho. Ao final do cap´ıtulo, uma s´ıntese é apresentada; • Cap´ıtulo 4: Neste cap´ıtulo, a proposta deste trabalho dissertativo é apresentada: um Framework de Deteçcaõ de Intrusão em WSN s. A arquitetura da proposta, sua modelagem e s sua prototipagem, ou seja, a exposi¸caõ de um cenário de funcionamento do framework serão apresentados. Ao fim do cap´ıtulo, uma s´ıntese é apresentada; • Cap´ıtulo 5: Neste cap´ıtulo, as avalia¸co˜es e discussões acerca dos testes feitos junto ao cenário de funcionamento do framework são apresentadas, assim como o ambiente e os dados usados nos testes, os resultados dos testes e compara¸co˜es com os trabalhos relacionados. Por u ´ltimo uma s´ıntese dos testes é apresentada; • Cap´ıtulo 6: Neste cap´ıtulo, as conclusões do trabalho dissertativo serão apresentadas, bem como uma discussão sobre os objetivos alcan¸cados, eventuais limita¸cões apresentadas pelo framework, publica¸co˜es acadêmicas referentes ao trabalho e sugestões de trabalhos futuros..

(23) 22. 2 Contexto Tecnol´ ogico. Neste cap´ıtulo, um contexto tecnológico será apresentado, no qual serão abordados os principais conceitos que norteiam este trabalho, a saber: redes de sensores sem fio, amea¸cas e contramedidas em redes de sensores sem fio, deteçcaõ de intrusão, com enfoque em deteçcão de intrusão em redes de sensores sem fio e agentes inteligentes e seu uso em deteçcaõ de intrusão.. 2.1 Redes de Sensores sem Fio. No contexto da Internet das Coisas, vários dispositivos que possuem, entre outras capacidades, fun¸cões de sensoriamento são apresentados: tags RFID, GPS, sensores infravermelho, scanners laser, entre vários outros. Um desses dispositivos apresentados são os sensores sem fio. Quando tais sensores atuam em conjunto, concretiza-se uma rede de sensores sem fio (LI et al., 2014). Uma rede de sensores sem fio é composta por desde uma dezena ou uma d´ uzia até milhares de nós autônomos, espacialmente distribu´ıdos cuja principal fun¸cão (sem se resumir a ela) é monitorar e coletar informa¸co˜es f´ısicas e/ou ambientais. Tal funcionamento se dá, em geral, através do envio dos dados por parte dos nós periféricos para os nós centrais (GANDHIMATHI; MURUGABOOPATHI, 2016). Pelo fato de tais sensores possu´ırem baixo custo e fácil capacidade de propaga¸caõ e instala¸caõ, são amplamente utilizados com vários fins: médicos, militares, industriais, civis, etc. Um exemplo é uma rede de sensores localizada em uma fábrica; tais sensores são responsáveis por detectar presen¸ca de pessoal, eventos, materiais e condi¸co˜es perigosos a` integridade dos funcionários, etc. Vê-se por esse exemplo, portanto, que a seguran¸ca é fator primordial em uma rede de sensores sem fio. Uma arquitetura básica de redes sem fio possui os seguintes componentes (WANKHADE; CHAVHAN, 2013): • N´ o sensor: São os nós responsáveis pelo sensoriamento dos dados do ambiente. Podem também repassar dados para outros nós da rede; • N´ o coletor: São os nós responsáveis pela coleta e armazenamento dos dados absorvidos pelos nós sensores;.

(24) 23. • Cluster head : Em uma arquitetura de cluster (exposta a seguir), um nó cluster head é responsável por receber os dados dos nós sensores, o qual envia para um nó coletor. Redes de sensores sem fio podem ser divididas em três categorias de arquitetura (WANKHADE; CHAVHAN, 2013): • WSN em arquitetura de camadas: Arquitetura de rede onde os nós são separados por camadas, separadas entre si por hops (saltos de rede). Nelas só há um nó coletor. Esta arquitetura é constru´ıda conforme na Figura 1; • WSN em arquitetura de cluster : Arquitetura composta por aglomerados (clusters) de sensores, cada um comandado por um nó cluster head, que repassa os dados para um nó coletor que age como esta¸caõ-base. Tal arquitetura se dá como exposto na Figura 2; • WSN com n´ o coletor m´ ovel: Nesta arquitetura, o nó coletor se desloca ao longo da rede, para coletar os dados aferidos pelos nós sensores. Na Figura 3 é poss´ıvel ver essa arquitetura. Figura 1 – WSN em arquitetura de camadas. Fonte: (WANKHADE; CHAVHAN, 2013).

(25) 24. Figura 2 – WSN em arquitetura de cluster. Fonte: (WANKHADE; CHAVHAN, 2013). Figura 3 – WSN com nó coletor móvel. Fonte: (WANKHADE; CHAVHAN, 2013). 2.1.1 Seguran¸ca em Redes de Sensores sem Fio. Sensores sem fio possuem importantes restri¸cões quanto aos seus recursos: a capacidade de processamento, armazenamento e energia desses dispositivos é menor do que em computadores desktop ou outros dispositivos móveis. Além disso, os sensores estão distribu´ıdos ao longo de uma ampla área. Portanto, a rede deve ser flex´ıvel, confiável, segura, organizada e tolerante a falhas (CAN; SAHINGOZ, 2015). Tais restri¸co˜es exigem mecanismos de seguran¸ca robustos e tornam a seguran¸ca um ponto ainda mais relevante nas redes de sensores sem fio..

(26) 25. A princ´ıpio, existem dois tipos de abordagem quanto à seguran¸ca: abordagem estática e abordagem dinâmica. Pode-se dizer que exemplos de abordagem estática são as VPN ’s, firewalls, métodos de autentica¸caõ e criptografia. Tais abordagens compõem uma primeira linha de defesa contra eventuais atacantes. No entanto, tais abordagens mais tradicionais acabam não sendo adequadas para uso em WSN ’s, uma vez que as referidas técnicas só proveem defesa contra defesas externas, além de serem por natureza, grandes consumidoras de recursos (KHANUM; USMAN; ALWABEL, 2012). Além disso, geralmente os dados trafegam abertamente em WSN ’s o que pode causar comprometimentos na seguran¸ca (LI et al., 2014).. 2.2 Amea¸cas e Contramedidas em Redes de Sensores sem Fio. Como exposto anteriormente, a seguran¸ca é importante preocupa¸cão quanto às redes de sensores sem fio. Pela potencial importância de uma rede de sensores, atacantes podem lan¸car mão de vários tipos de ataques citados na literatura, contra os quais podem ter tomadas várias contramedidas poss´ıveis. Há vários tipos de ataques contra redes de sensores sem fio. Entre os mais conhecidos e citados na literatura, podemos citar: • Jamming : Neste ataque, os atacantes buscam causar interferência nos canais de sinal sem fio usados pelos nós (JAN; KHAN, 2013). • Tampering : Ataque que resulta em acesso f´ısico ao sensor por parte de um atacante, com o intento de recolher dados ou descobrir artefatos como chaves de criptografia (MESSAI, 2014); • Colis˜ ao: Neste tipo de ataque, o atacante faz com que haja uma colisão em um dos octetos do frame na rede, gerando a perda deste e for¸cando a sua posterior retransmissão. Outro tipo de estrutura que pode ser vitimada por um ataque de colisão é o pacote ACK, gerando atrasos exponenciais na rede (JAN; KHAN, 2013); • Exaust˜ ao: Ataque que pode ser tanto feito por um atacante externo quanto por um sensor interno comprometido; nesse ataque, o sensor, através de um código malicioso, faz várias requisi¸co˜es a` rede, consumindo seus recursos de hardware e energia (JAN; KHAN, 2013);.

(27) 26. • Black hole: Ataque no qual um nó comprometido da rede falsifica as diretivas de roteamento da rede, de maneira a for¸car a passagem dos demais pacotes da rede por aquele nó e não repassá-los aos seus destinatários, criando um “buraco negro” na rede (MESSAI, 2014); • Selective forwarding : Ataque no qual um nó malicioso da rede atua como um roteador, não repassando certos tipos de mensagens (MESSAI, 2014); • Sybil : Ataque no qual um dispositivo malicioso adota, de maneira ileg´ıtima, várias ´ um ataque que possui grande efetividade, sobretudo em ludibriar identidades. E algoritmos de roteamento e aloca¸caõ de recursos (WALTERS et al., 2007); • HELLO Flood : O pacote HELLO é bastante usado por protocolos de roteamento. Sua principal fun¸caõ é descobrir os nós vizinhos na rede e estabelecer uma topologia da rede. A versão mais simples desse ataque consiste em inundar a rede com pacotes HELLO, de maneira a impedir a troca de mensagens (MESSAI, 2014); • Wormhole: Em um ataque wormhole, é criado um t´ unel de baixa latência entre dois pontos da rede, pelo qual o atacante recebe mensagens e as retransmite para uma parte diferente (KARLOF; WAGNER, 2003); • Sinkhole: Neste ataque, um atacante entra em acordo com um nó da rede ou introduz um falso nó na rede e o usa para levar a cabo um ataque. Após essa manobra, o atacante ouve requisi¸cões de rotas e tenta convencer os nós v´ıtimas de que o nó comprometido/nó falso possui o caminho mais rápido até a esta¸caõ-base da rede (CAN; SAHINGOZ, 2015); • Spoofed, altered and Replay : Neste ataque, os pacotes dos protocolos de roteamento são alterados, modificados (gerando perda do princ´ıpio da integridade) ou mesmo reenviados, causando envio de pacotes maliciosos para a esta¸caõ-base, loops indesejados na rede, aumento da latência, gera¸cão de falsas mensagens de erro e atra¸caõ ou expulsão de tráfego de rede (JAN; KHAN, 2013). ´ um tipo de ataque que busca mirar suas atividades em nós mais especiais, • Homing : E que tenham tarefas mais nobres como gerenciar chaves criptográficas ou monitorar o tráfego da rede (JAN; KHAN, 2013); • Nega¸c˜ ao de servi¸co: Ataques por nega¸cão de servi¸co visam sobrecarregar um sistema para torná-lo indispon´ıvel. Em sistemas com sensores sem fio, que possuem, por natureza, menor capacidade de processamento, isso acaba por se tornar um ponto ainda mais sens´ıvel (CAN; SAHINGOZ, 2015). Ataques de nega¸cão de servi¸co em.

(28) 27. geral lan¸cam mão dos protocolos TCP, UDP e ICMP. Alguns exemplos de ataques de nega¸caõ de servi¸co: – SYN Flood : ataque no qual o atacante lan¸ca mão do processo de three-way handshake para enviar à v´ıtima uma inunda¸cão de pacotes TCP com a flag SYN, de maneira a não tornar poss´ıvel a resposta SYN -ACK, sobrecarregando, assim, a v´ıtima (RAO et al., 2014). – LAND: ataque no qual é enviado um pacote TCP com a flag SYN para uma porta aberta com mesmos endere¸cos e portas de origem e destino (UNDERSTANDING. . . , 2015). – ICMP Flood : Ataque no qual são enviados vários pacotes ICMP “echo request” para a v´ıtima, sobrecarregando seus recursos (DEGIRMENCIOGLU et al., 2016). – Smurf : Ataque no qual são enviados vários pacotes ICMP “echo request” para o broadcast, o qual envia as respostas para toda a rede (SURISETTY; KUMAR, 2010). – UDP Flood : São enviados vários pacotes UDP a` v´ıtima, de maneira a diminuir seu desempenho e causar congestionamento na rede (ZARGAR; KABIRI, 2009). Assim como ocorre com os ataques, também, na literatura, várias contramedidas que visem coibir as a¸co˜es maliciosas são propostas. Contra o ataque black hole, é muito u´til o uso de medidas estat´ısticas para a deteçcaõ de ataques (XIE et al., 2011). Em Bysani e Turuk (2011) são apresentados dois esquemas que visam combater o selective forwarding: um que visa detectar os nós maliciosos e removê-los das tabelas de roteamento (seja através de deteçcaõ baseada em reconhecimento, seja baseada em informa¸co˜es dos nós vizinhos) e outro que vise apenas mitigar os ataques. Em Can e Sahingoz (2015) são apresentadas duas solu¸cões para o HELLO flood : verifica¸cão bidirecional de links e uso de m´ ultiplas esta¸cões-base. Contra o wormhole, Hu, Perrig e Johnson (2003) propõem um mecanismo que restringe a vida u ´ til de um pacote qualquer, restringindo, como consequência, a distância que tal pacote pode viajar e Triki, Rekhis e Boudriga (2009) apresentam um mecanismo que preconiza que haja nós investigadores na rede, monitorando a topologia da rede e os datagramas passantes. Em Dallas, Leckie e Ramamohanarao (2007) é proposto um sistema de deteçcão de anomalias, que tem por principal funcionalidade analisar a magnitude de contagem de saltos em uma tabela de roteamento, em busca de padrões que.

(29) 28. demonstrem a presen¸ca de um ataque sinkhole. Em Newsome et al. (2004) são apresentadas duas abordagens para conter os efeitos do ataque Sybil : a valida¸caõ direta, na qual um nó testa diretamente a validade da identidade de outro nó e a valida¸caõ indireta, na qual nós já validados também podem participar da valida¸caõ de nós cuja identidade ainda não foi certificada. 2.3 Sistemas de Deteçcaõ de Intrus˜ ao. Segundo Scarfone e Mell (2007), deteçcaõ de intrusão é o processo de monitoramento de eventos em um computador ou em uma rede de computadores orientado a uma busca por viola¸cões a sistema, amea¸cas às pol´ıticas de seguran¸ca do sistema ou práticas de seguran¸ca já padronizadas. Tais eventos geram alertas e relatórios, que serão enviados ao administrador de rede. Um sistema de deteçcão de intrusão é, portanto, um sistema computacional que torna automático o processo de deteçcão de intrusão. De acordo com Srivastava et al. (2011), os IDS, quanto a` cobertura dos eventos, se dividem em duas categorias: • Host-based Intrusion Detection Systems (HIDS ): HIDS são projetados para detectar intrusões em apenas uma máquina na rede; • Network-based Intrusion Detection Systems (NIDS ): NIDS visam a deteçcaõ de intrusão em toda uma rede de computadores. Outra classifica¸cão importante é feita quanto à forma de deteçcão, que pode ser feita também em duas categorias (SRIVASTAVA et al., 2011): • IDS baseado em assinaturas: Também chamado de IDS baseado em abusos, nele é armazenado um catálogo com padrões dos ataques contra os quais se deseja proteger. Caso a rede apresente um padrão condizente com alguma assinatura, o ´ bastante funcional contra ataques conhecidos, porém alerta de ataque é gerado. E não é tão efetivo contra ataques contra os quais não há assinatura pré-definida; • IDS baseado em anomalias: Eficiente em identificar novos padrões de ataques através de treinamento e compara¸cões entre padrões esperados e padrões desviantes (SCARFONE; MELL, 2007), porém às vezes é falho em descobrir ataques de assinatura mais conhecida, pela ausência de um banco de assinaturas;.

(30) 29. Ainda segundo Scarfone e Mell (2007), um IDS possui basicamente quatro componentes: • Sensor ou agente: Responsável direto pela análise do tráfego de rede; • Servidor de gerenciamento: Dispositivo responsável por gerenciar os sensores e receber as informa¸cões por eles geradas. Alguns destes servidores são capazes de interpretar as informa¸co˜es recebidas pelos sensores e identificar a presen¸ca de eventos na rede; • Servidor de banco de dados: Trata-se de um repositório das informa¸cões u ´ teis (informa¸co˜es de pacotes de rede ou histórico de eventos, por exemplo) para o IDS; • Console: Interface entre o IDS e o administrador de rede, provendo a possibilidade de monitoramento do IDS, bem como dos eventos e informa¸co˜es por ele geridos;. 2.3.1 Deteçcaõ de Intrusão em Redes de Sensores sem Fio. Os IDS apresentam várias técnicas para deteçcaõ e conten¸caõ dos ataques, porém várias vezes esses IDS são projetados para atuar em meios como redes cabeadas ou ambientes de computa¸caõ em nuvem, tornando-se, portanto, de aplica¸caõ inadequada em uma rede de sensores sem fio (CAN; SAHINGOZ, 2015). Tal adequa¸cão é a principal motiva¸cão para deteçcão de intrusão em WSN’s, e não se aplica mesmo às redes sem fio ou às MANETS, de topologia mais semelhante a`s WSN’s. Além do exposto acima, outra importante motiva¸cão para o desenvolvimento de IDS’s é o volume de ataques já catalogados e apresentados em diversos trabalhos, como o exposto por na Tabela 1. Portanto, segundo Can e Sahingoz (2015), é necessário desenvolver os IDS em conformidade com as restri¸co˜es apresentadas pelas WSN’s, devido a`s suas peculiaridades: bateria limitada, ambiente aberto, memória e capacidade computacional limitadas. De acordo com Rassam, Maarof e Zainal (2012), especificamente em WSN’s, os IDS’s representam uma segunda camada de defesa contra ataques, uma vez que a primeira camada, composta por mecanismos de criptografia e autentica¸cão, não consegue conter ataques vindos de dentro da rede. Para o desenvolvimento dos IDS’s, são usadas várias técnicas, apresentadas na literatura; abordagens baseadas em assinaturas e/ou baseadas em anomalias combina-.

(31) 30. Tabela 1 – Taxonomia dos ataques contra redes de sensores sem fio Taxonomia Ataques de comunica¸caõ. Ataques contra a privacidade. Ataques com nós espec´ıficos como alvo. Tipos de ataque Ataques de repeti¸caõ Ataques de nega¸cão de servi¸co Ataques Sybil Espionagem Representa¸cão Análise de tráfego Captura de nó sensor Destrui¸caõ de nó sensor. Ataques por consumo de energia Ataques contra pol´ıticas Ataques contra gerenciamento de chaves criptográficas Fonte: (HAN et al., 2006). das com uso de técnicas como: Agentes Inteligentes, Minera¸cão de Dados, Inteligência Computacional, Teoria dos Jogos, deteçcão baseada em estat´ısticas, etc.. 2.4 Agentes Inteligentes. Segundo Norvig e Russell (2014), um agente inteligente (também chamado de agente racional) é qualquer entidade que seja, através de sensores, capaz de perceber o ambiente no qual esteja inserido e, baseado nesse sensoriamento, agir nesse ambiente através de atuadores, conforme pode ser ilustrado na Figura 4. Agentes podem incorporar a si várias capacidades, como tomadas de decisão baseadas em lógica fuzzy ou aprendizado de máquina ou mesmo mobilidade entre nós em uma rede. São usados nos mais variados campos da sociedade: Inteligência Artificial, Robótica, Psicologia, Sociologia, Lingu´ıstica e muitos outros..

(32) 31. Figura 4 – Estrutura de um agente inteligente e fluxograma de suas rela¸co˜es com o ambiente. Fonte: Adaptado de (NORVIG; RUSSELL, 2014). Segundo Weiss (1999), as arquiteturas de agentes podem ser categorizadas em 4 tipos: • Agentes baseados em l´ ogica: agentes nos quais as decisões são tomadas baseadas em dedu¸co˜es lógicas; • Agentes reativos: agentes nos quais as tomadas de decisão são implementadas com base em mapeamentos feitos de situa¸cão para a¸caõ; • Agentes baseados em cren¸ca-desejo-inten¸c˜ ao: agentes cujas decisões são tomadas através da manipula¸cão de estruturas de dados que representam as cren¸cas, desejos e inten¸cões dos agentes; • Agentes baseados em camadas de arquiteturas: agentes cujas decisões são tomadas com base em camadas de software, cada uma com maior ou menor abstra¸caõ e conhecimento do ambiente computacional no qual se encontra o agente. Quanto aos tipos de agente, Norvig e Russell (2014) apresentam quatro tipos, a saber: • Agentes reativos simples: Agente que executa as suas a¸cões baseadas na sua percep¸caõ atual, em um processamento baseado em condi¸caõ-a¸caõ, independente das percep¸co˜es anteriores; • Agentes reativos baseados em modelos: Agente que possui um estado interno que é baseado em um histórico de percep¸co˜es, bem como um modelo do ambiente no.

(33) 32. qual ele se encontra. Essas estruturas fornecerão um panorama do ambiente para o agente, influenciando, portanto, as suas a¸co˜es nele; • Agentes baseados em objetivos: Agente que pauta as suas a¸cões não apenas e um modelo e um histórico de percep¸cões, mas também em objetivos (situa¸cões desejáveis); • Agentes baseados na utilidade: Agente orientado, além das a¸cões, modelos e percep¸cões, por utilidade, que nada mais é senão uma medida de maior ou menor satisfa¸caõ de certas métricas. Quando vários agentes compartilham o mesmo ambiente computacional, trabalham em conjunto e trocam mensagens e informa¸cões, dá-se a presen¸ca de um sistema multiagentes. Os agentes que compõem um sistema multi-agentes podem ser cientes da situa¸caõ dos outros agentes do sistema, o que permite que os agentes se comportem de uma tal maneira que pare¸cam módulos de um maior sistema (PANAIT; LUKE, 2005).. 2.4.1 Uso de Agentes Inteligentes em Deteçcaõ de Intrusão. No que se refere aos sistemas de deteçcão de intrusão, os agentes inteligentes permitem que sejam melhor desenvolvidos, uma vez que o processo de deteçcaõ de intrusão deve ser a´gil, de maneira a minimizar os danos, e escalável, para que seja poss´ıvel trabalhar com cargas de trabalho variáveis. Além disso, eles fornecem as seguintes vantagens a estes sistemas (PATIL et al., 2008; MOURABIT et al., 2014): • Redu¸ c˜ ao da latˆ encia de rede: Agentes localizados em um determinado host, no qual alguma a¸caõ deva ser tomada, têm uma resposta mais rápida do que ocorreria caso no sistema fosse usada alguma entidade centralizada; • Execu¸c˜ ao autˆ onoma: Agentes são mais independentes; eles permanecem funcionais, mesmo após uma falha parcial do sistema, o que fornece uma maior tolerância a falhas; • Ambiente heterogˆ eneo: Plataformas de agentes permitem que o sistema opere nas mais diversas plataformas, fornecendo uma camada independente de sistema operacional;.

(34) 33. • Redu¸ c˜ ao de carga de rede: Agentes, caso seja necessário, podem implementar mobilidade de todo o processo para outros hosts da rede, permitindo, assim, uma distribui¸caõ da carga do sistema; • Adapta¸c˜ ao dinˆ amica: pela natureza dinâmica dos comportamentos de um agente, um sistema de deteçcaõ de intrusão baseado em agentes pode ser reconfigurado em tempo de execu¸cão; • Adapta¸c˜ ao est´ atica: Quando for necessário adicionar uma nova assinatura de ataque ao IDS, os algoritmos do sistema de deteçcão podem ser atualizados sem a reinicializa¸caõ do sistema inteiro; • Escalabilidade: Caso seja necessário, é poss´ıvel distribuir os agentes por toda a extensão de um sistema, permitindo que a carga do sistema seja distribu´ıda em vários hosts. 2.5 S´ıntese. Neste cap´ıtulo, os principais conceitos introdutórios foram apresentados. Estes são necessários para uma correta compreensão e implementa¸cão do framework apresentado neste trabalho dissertativo: Redes de Sensores sem Fio, Deteçcão de Intrusão e Agentes Inteligentes. Os sensores sem fio possuem várias particularidades, principalmente quanto a`s suas capacidades computacionais (memória, processamento, quantidade de armazenamento dispon´ıvel, carga de bateria, entre outros). Além disso, conforme exposto neste cap´ıtulo, possui tamanho razoável o rol de amea¸cas que visam atacar o reto funcionamento dessas estruturas. Portanto, faz-se necessário que haja implementa¸co˜es de solu¸co˜es de seguran¸ca que levem em conta tais particularidades. Visando atender tais particularidades, várias abordagens foram propostas na literatura. Uma delas, citada nesse trabalho e escolhida como abordagem principal deste trabalho, é a dos Agentes Inteligentes. Tal escolha se deve a algumas vantagens já citadas e descritas neste cap´ıtulo, tais como: desempenho computacional satisfatório, adaptabilidade, escalabilidade, menor tempo de latência e balanceamento de carga..

(35) 34. 3 Estado da Arte. Este cap´ıtulo apresenta os trabalhos propostos pela comunidade cient´ıfica cujos estudos foram considerados bastante relevantes para a consecu¸caõ do framework proposto.. 3.1 Amea¸cas e Contramedidas em Redes de Sensores sem Fio. Com a expansão do uso das redes de sensores sem fio, aumentou, paralelamente, a quantidade de amea¸cas que visam atentar contra a seguran¸ca dessas redes. Com esse aumento indesejado, surgiu a necessidade de encontrar meios de combater tais amea¸cas. Com efeito, a literatura oferece bastantes trabalhos sobre tais amea¸cas e contramedidas. Um importante trabalho no in´ıcio desses esfor¸cos foi o trabalho apresentado por Han et al. (2006) – cuja taxonomia já foi apresentada neste trabalho, conforme a Tabela 1 –, embora care¸ca de uma apresenta¸caõ das contramedidas apropriadas para cada tipo dos ataques citados. Trabalhos posteriores, no entanto, se encarregaram de tal tarefa. Malik (2013) primeiramente apresenta os principais requisitos de seguran¸ca em WSN’s: confidencialidade dos dados entre emissário e receptor das mensagens, de maneira a proteger dados sens´ıveis do acesso de pessoas indevidas; integridade dos dados, de maneira a providenciar que a integridade dos dados não seja afetada por atacantes; autentica¸caõ dos dados, com o fim de restringir as atividades efetuadas por nós não autorizados; atualidade dos dados, ou seja, uma garantia de que os dados serão os mais recentes poss´ıveis, para impedir que mensagens antigas não sejam reaproveitadas; disponibilidade, importante requisito referente não só às capacidades de funcionamento da rede, mas também aos gastos computacionais da mesma; auto-organiza¸cão, que se refere à adaptabilidade e flexibilidade da topologia dos nós; localiza¸cão segura, que provê referências geográficas para melhoramento dos protocolos de seguran¸ca. Na Tabela 4 são apresentados os ataques e contramedidas propostos neste trabalho. Semelhante trabalho é apresentado por Panigrahi, Sharma e Ghose (2013). Além de citar as amea¸cas mencionadas pelo trabalho anterior, são citadas outras contramedidas, tais como: gerenciamento de chaves, com o fim de estabelecer comunica¸co˜es mais seguras com uma chave válida entre os pares envolvidos na conexão e IDS’s, visando identificar e combater intrusos..

(36) 35. Tabela 2 – Ataques e contramedidas propostos por Malik (2013) Tipo de ataque. Contramedidas propostas. Jamming Ataques f´ısicos em geral. Uso de m´ ultiplas frequências Prote¸cão f´ısica extra Camuflagem Escondimento Deteçcaõ e evita¸cão de colisões Uso de CRC Uso de TDM Uso de pacotes de pequeno tamanho Defini¸caõ de rotas alternativas Criptografia do cabe¸calho e do conte´ udo Uso de esquemas CRC ou MAC Troca de pacotes de roteamento apenas entre nós autorizados Criptografia de chave p´ ublica Limitar n´ umero de conexões Uso de captchas Autentica¸cão das partes cr´ıticas Limita¸caõ das conexões estabelecidas pelos sensores Monitoramento regular da rede, em busca de atividade suspeita. Colisões Exaustão Inequidade Negligência e ganância Homing Spoofing de informa¸co˜es de roteamento Black hole Flooding Desincroniza¸caõ Sybil Selective forwarding. No trabalho desenvolvido por Jan e Khan (2013), são apresentados especificamente os ataques de nega¸cão de servi¸co (DoS) e suas respectivas contramedidas, no escopo das WSN’s. Segundo o autor, os ataques de nega¸caõ de servi¸co se dividem em três classes: • Ataques na Camada F´ısica – Jamming; – Tampering; • Ataques na Camada MAC – Colisão; – Exaustão; • Ataques na Camada de Rede – Spoofed, altered and Replay; – Sybil ; – Sinkhole; – Black hole; – Worm hole; – Selective forwarding; – Homing..

(37) 36. 3.2 Sistemas de Deteçcaõ de Intrus˜ ao em Redes de Sensores sem Fio. No escopo das redes de sensores sem fio, várias abordagens de deteçcaõ de intrusão foram feitas. A seguir são apresentadas algumas delas. Em Li, He e Fu (2008) é proposto um esquema no qual os nós de uma rede de sensores são divididos em grupos. Nesses grupos, os sensores ficam fisicamente próximos uns dos outros, para maior precisão da deteçcaõ das intrusões, e os atacantes são detectados através dos valores atribu´ıdos a certas variáveis, tais como: dados coletados pelos sensores, taxa de envio de pacotes, taxa de perda de pacotes, taxa de pacotes nos quais foi detectado algum tipo de altera¸caõ, taxa de recebimento de pacotes e energia dispendida no envio de pacotes. No trabalho é conclu´ıdo que tal abordagem é capaz de detectar com sucesso os ataques com uma baixa taxa de falsos positivos e baixo consumo de energia. Em Baig (2011) é apresentado um modelo para preven¸caõ de ataques baseada em fluxo de tráfego de rede, além da defini¸caõ de um mecanismo distribu´ıdo para a deteçcaõ dos mesmos ataques. Para tanto, são especificados modelos, espec´ıficos para cada topologia de rede, de tráfego normal de rede. A partir do ciência do que seja um tráfego normal, são feitas, de maneira bem facilitada, as deteçcões do tráfego dito anormal. Para testes da efetividade e performance do sistema, foi elaborada uma simula¸caõ do sistema, mediante o uso de um ataque de exaustão distribu´ıdo. Como resultado o sistema logrou sucesso na deteçcão dos ataques (com taxas de deteçcão entre 86 a 92%), sem um maior overhead, tão custoso a dispositivos de poucos recursos computacionais. Foi observada também uma maior taxa de deteçco˜es em redes de sensores menos densas, conforme a Figura 5. Figura 5 – Taxa de deteçcaõ de ataques em fun¸caõ do tamanho/densidade da rede (BAIG, 2011). Fonte: (BAIG, 2011).

(38) 37. Em Moon, Kim e Cho (2014) são apresentados esquemas de métodos de roteamento eficientes energeticamente, bem como de deteçcão de intrusão, cujo princ´ıpio é o baixo overhead. O funcionamento da proposta ocorre ao longo de três fases: constru¸caõ inicial, na qual as tabelas de roteamento de toda a rede são constru´ıdas; sensoriamento da transmissão de dados, na qual um nó sensor gera e retransmite relatórios de eventos para a esta¸caõ-base; reconstru¸cão, na qual a topologia de rede e as tabelas de roteamento são reconstru´ıdos, após a sinaliza¸caõ de um alerta. Concluiu-se, ao fim do trabalho, que o objetivo de alcan¸car baixo overhead foi alcan¸cado. No trabalho desenvolvido por Wang et al. (2011), é apresentado um mecanismo integrado de deteçcão de intrusão voltado para clusters de sensores sem fio. Tal sistema integrado agrega três subsistemas principais: Intelligent Hybrid Intrusion Detection System (IHIDS ), Hybrid Intrusion Detection System (HIDS ) e IDS baseado em abusos. Tais componentes são aplicados de maneiras diferentes em cada um dos diferentes n´ıveis da WSN (desde as cluester heads até os nós sensores). Com o fim de mitigar a quantidade de falsos positivos, é também agregado um módulo de deteçcaõ através de abusos e outro de deteçcaõ através de anomalias. Acoplado a todos estes elementos, um módulo de tomada de decisão para integrar os ataques detectados por cada um dos módulos separadamente. Em Shamshirband et al. (2014a), é apresentada uma proposta de um algoritmo que lan¸ca mão da lógica fuzzy para efetuar deteçcão de intrusão em clusters redes de sensores sem fio, de maneira a aprimorar a precisão da deteçcão de atividade maliciosa. Para a avalia¸caõ do sistema, foi usado um dataset com dados reais, recolhidos por sensores do Intel Berkeley Research Lab, e sua perfomance foi comparada com outros algoritmos semelhantes já consagrados, como o K-MICA, o K-mean e o DBSCAN, demonstrando uma precisão na deteçcaõ acima dos 87%, conforme a Figura 6..

(39) 38. Figura 6 – Compara¸caõ da precisão entre os algoritmos K-MICA e D-FICCA. Fonte: (SHAMSHIRBAND et al., 2014a). Em Shamshirband et al. (2014b), é apresentado um modelo de deteçcaõ e preven¸caõ de intrusão (principalmente ataques de nega¸caõ de servi¸co distribu´ıda) em WSN’s baseado em Teoria dos Jogos. Para avalia¸caõ, o modelo é comparado com outros modelos considerados leves e, portanto, adequados para uso em WSN’s, tais como: controlador de lógica fuzzy NS-2, Q-learning e fuzzy Q-learning. Nos resultados, o modelo proposto demonstrou melhor precisão na deteçcaõ, tomada de contramedidas, tempo de vida da rede e precisão da defesa. Na Figura 7, é apresentado o modelo do IDPS; nele, uma estrutura composta por deteçcão baseada em Teoria do Jogos e aprendizado de máquina é responsável pela deteçcão dos ataques. Neste mecanismo, a esta¸cão-base e os nós coletores se adaptam, através de aprendizado baseado em fuzzy Q-learning (FQL), para selecionar a melhor estratégia e, a partir desta, tomar as contramedidas necessárias. Depois dessa etapa, o nó coletor transmite um alarme a` esta¸caõ-base, informando a ocorrência do ataque. A partir da´ı, na segunda fase, a esta¸cão-base usa o algoritmo FQL como meio de defesa contra o atacante..

(40) 39. Figura 7 – Atacante e modelagem do IDPS baseado em Teoria dos Jogos. Fonte: (SHAMSHIRBAND et al., 2014b). No trabalho proposto por Ngai, Liu e Lyu (2007), é proposto um algoritmo para deteçcão do ataque sinkhole (escolhido por sua importante seriedade e potenciais danos causados a uma WSN). O algoritmo proposto busca um conjunto de nós suspeitos e constrói uma lista deles, através de recursos de checagem de consistência de dados. A partir da´ı, mediante análise do fluxo de rede, são identificados os reais nós nocivos à rede. Além disso, o algoritmo goza de robustez suficiente para lidar também com nós que, agindo de maneira cooperativa, mascaram a presen¸ca do verdadeiro intruso. Os resultados demonstraram a eficiência e a eficácia esperados na deteçcaõ dos ataques, além da presen¸ca de um overhead baixo o suficiente para uma WSN.. 3.3 Uso de Agentes Inteligentes em Sistemas de Deteçcaõ de Intrus˜ ao. Na presente se¸caõ, serão apresentados os trabalhos que, quer pelas suas limita¸co˜es, quer pelas aberturas detectadas para melhoramentos ou abordagens alternativas, foram considerados basilares para a elabora¸cão do presente trabalho. Ao fim, será apresentada uma tabela comparativa entre os trabalhos citados na se¸caõ..

(41) 40. 3.3.1 Energy-Efficient Intrusion Detection System for Wireless Sensor Network Based on MUSK Architecture. No trabalho de Khanum et al. (2010) é apresentada a arquitetura MUSK, um mecanismo que visa dinamismo e seguran¸ca de redes de sensores sem fio que fa¸ca uso otimizado do uso de energia. Essa arquitetura em baseada em três agentes: Monitoring Unit, Management Unit e Coordinating Unit. O agente Monitoring Unit tem como responsabilidade monitorar as intrusões: quando ele detecta alguma intrusão, é enviada uma mensagem para o agente Management Unit, onde será aferido se aquele padrão de ataque informado existe no banco de dados; se não, é enviada uma mensagem de volta ao Monitoring Unit, informando a não existência do padrão no repositório. Se existe, o Management Unit envia uma mensagem ao Coordinating Unit para que seja trabalhada a ´ por fim, informado no trabalho que a principal vantagem obtida termina¸caõ da intrusão. E, no trabalho é redu¸caõ da carga de trabalho. Na Figura 8 é apresentada uma ilustra¸caõ da arquitetura apresentada pelo trabalho. Figura 8 – Arquitetura de agentes MUSK. Fonte: (KHANUM et al., 2010).

(42) 41. 3.3.2 Intrusion Detection for Wireless Sensor Networks Based on Multi-agent and Refined Clustering. Neste trabalho (WANG; YUAN; WANG, 2009) é apresentado um modelo de sistema de deteçcão de intrusão baseado em multi-agentes que usa um novo método de deteçcão, chamado clusteriza¸cão refinada. Para a consecu¸cão desse método são usados algoritmos de redes neurais e algoritmos de classifica¸caõ. Este trabalho se baseia em quatro agentes: Sentry Agent, Analysis Agent, Response Agent e Management Agent. O Sentry Agent é alocado em cada um dos nós da rede de sensores sem fio, e é responsável por monitorar as atividades nos nós. Os dados coletados por ele são submetidos para análise pelo Analysis Agent, que é o responsável por julgar se há ou não intrusão, baseado no que for eventualmente recebido pelo Sentry Agent. O agente Response Agent, localizado em cada cluster de sensores, é responsável por receber os resultados das análises feitas no Analysis Agent e tomar as contramedidas necessárias, baseadas no que foi recebido do Analysis Agent. O Management Agent é instalado em cada um dos nós de cada cluster de sensores. Cada um desses nós toma parte no gerenciamento da rede, tornando, assim, a administra¸cão da rede descentralizada (evitando, assim, o colapso da rede inteira, caso o nó centralizado falhe); as tarefas do Management Agent envolvem gerenciar, manter e harmonizar os demais agentes. Tal arquitetura demonstrou uma ótima taxa de deteçcão, ainda que também uma maior taxa de falsos positivos. A Figura 9 retrata um diagrama com os relacionamentos entre os agentes apresentados. Figura 9 – Relacionamento entre os agentes Sentry, Analysis, Response e Management. Fonte: (WANG; YUAN; WANG, 2009).

(43) 42. 3.3.3 A Framework of Machine Learning Based Intrusion Detection for Wireless Sensor Networks. Aqui é apresentado (YU; TSAI, 2008) um framework de sistema de deteçcão de intrusão em redes de sensores sem fio baseado em aprendizado de máquina. Nesse framework é proposto um agente: o Intrusion Detection Agent, o qual é executado em cada um dos nós da rede de sensores. O agente usa algoritmos de aprendizado de máquina para, baseado em aprendizado anterior, aferir as caracter´ısticas dos pacotes e detectar ou não os ataques. O sistema proposto é capaz de monitorar todos os nós sensores, porém apenas um por slot de tempo. Na Figura 10 encontra-se uma representa¸cão do agente responsável pelo framework proposto. Figura 10 – Diagrama representado o agente Intrusion Detection. Fonte: (YU; TSAI, 2008). 3.3.4 A lightweight intrusion detection framework for wireless sensor networks. Neste trabalho (HAI; HUH; JO, 2010) é proposto um framework leve (consumo otimizado de energia) integrado para redes de sensores clusterizados. Tal framework é composto por dois agentes: Local IDS Agent e Global IDS Agent. Uma caracter´ıstica importante do quesito economia de energia é que desses agentes, só um fica ativo por vez, para que haja economia do uso de bateria e demais recursos limitados dos sensores. O Local IDS Agent é responsável por monitorar as informa¸cões enviadas e recebidas pelos sensores da rede. Quando a rede é inicialmente configurada, os sensores não possuem qualquer conhecimento sobre nós maliciosos, conhecimento este que vai se consolidando de maneira gradual ao longo do tempo de vida do sistema, e sendo propagado para os outros nós sensores da rede. Já o Global IDS Agent é responsável por monitorar a comunica¸cão.

(44) 43. estabelecida nos nós vizinhos a ele. Nesse agente é feita a investiga¸caõ propriamente dita dos pacotes, de maneira a buscar as intrusões. Quanto a` performance desta proposta, foi conclu´ıdo que o n´ umero de nós monitores da rede de sensores é inversamente proporcional a` possibilidade de surgirem falsos positivos: quanto maior o n´ umero de nós monitores na rede, menor a possibilidade de serem alertados falsos positivos. Por outro lado, foi detectado que quando o n´ umero de nós monitores aumenta, aumenta também a possibilidade de emissão de falsos negativos. Na Figura 11 é poss´ıvel observar um gráfico que demonstra essa tendência. Figura 11 – Taxa de deteçcão de falsos positivos no framework proposto por Hai, Huh e Jo (2010). Fonte: (HAI; HUH; JO, 2010). 3.3.5 Wireless Intrusion Detection System Using a Lightweight Agent. Neste trabalho (HADDADI; SARRAM, 2010) é proposto um sistema de deteçcão de intrusão orientado por um agente, o IDS Agent. Esse agente é dividido em cinco módulos, a saber: Network sniffer, responsável por “farejar” a rede; Misuse detection engine, responsável por investigar se certos padrões de tráfego são semelhantes a padrões de ataques; Anomaly detection engine, que analisa os pacotes e investiga se há anomalias estabelecidas em uma dada regra (pacotes de rede suspeitos acima de um n´ umero limite,.